Αυτή την εβδομάδα, δεδομένα από το Alibaba Cloud Security DDoS Monitoring Center δείχνουν ότι η τάση των επιθέσεων DDoS με χρήση Memcached θερμαίνεται γρήγορα. Χθες, το Alibaba Cloud παρακολούθησε και αμύνθηκε με επιτυχία έναντι μιας επίθεσης αντανάκλασης Memcached DDoS με κίνηση έως και 758.6 Gbps.
Το παρακάτω είναι ένα δείγμα σύλληψης πακέτων μιας αναστοχαστικής επίθεσης DDoS Memcached, η οποία μπορεί να διακριθεί γρήγορα από τα χαρακτηριστικά του πρωτοκόλλου UDP + της θύρας πηγής 11211.
Σε αυτήν την επίθεση, ο εισβολέας πλαστογραφεί την IP του θύματος για να υποβάλει μεγάλο αριθμό αιτημάτων στις υπηρεσίες του Memcached στο Διαδίκτυο που μπορούν να αξιοποιηθούν και το Memcached ανταποκρίνεται στα αιτήματα. Ένας μεγάλος αριθμός πακέτων απόκρισης συγκλίνει στην πλαστογραφημένη πηγή διεύθυνσης IP (δηλαδή στο θύμα) για να σχηματίσει μια ανακλαστική κατανεμημένη επίθεση άρνησης υπηρεσίας.
Η ανησυχία είναι ότι το Memcached μπορεί να ενισχύσει πακέτα δεκάδες χιλιάδες φορές, δηλαδή, το μέγεθος του πακέτου που επιστρέφεται είναι δεκάδες χιλιάδες φορές το μέγεθος του αιτήματος και οι εισβολείς μπορούν να ξεκινήσουν επιθέσεις DDoS με τεράστια κίνηση χρησιμοποιώντας πολύ μικρό εύρος ζώνης. Οι επιθέσεις αντανάκλασης NTP και SSDP μπορούν γενικά να ενισχυθούν μόνο κατά δεκάδες έως εκατοντάδες φορές. Η ενίσχυση Memcached αντικατοπτρίζει επιθέσεις DDoS λόγω της μεγέθυνσής της, η οποία μπορεί να είναι πιο καταστροφική.
Στάση επίθεσης
Με τη δημοσιοποίηση των τεχνικών επίθεσης DDoS χρησιμοποιώντας το Memcached, συμβαίνουν όλο και περισσότερες απόπειρες DDoS για χρήση του Memcached για προβληματισμό και αυτός ο τύπος επίθεσης DDoS αυξάνεται ραγδαία.
Πρόσφατα, οι χάκερ σάρωσαν και συνέλεξαν MemcachedIP που μπορούν να αξιοποιηθούν σε όλο τον κόσμο και εμφανίστηκε ένας μεγάλος αριθμός δοκιμαστικών επιθέσεων Memcached DDoS εξαιρετικά υψηλής επισκεψιμότητας.
Ο αριθμός και η βλάβη των σημείων προβληματισμού στο Διαδίκτυο επί του παρόντος
Ολόκληρο το Διαδίκτυο μπορεί να χρησιμοποιηθεί για αντανάκλαση Memcached εκατοντάδων χιλιάδων IP, παρέχοντας στους εισβολείς ένα τεράστιο οπλοστάσιο.
Καθώς η δυσκολία έναρξης εξαιρετικά μεγάλων DDoS μειώνεται, οι IDC και οι πάροχοι υπηρεσιών cloud πρέπει να δεσμεύσουν περισσότερο εύρος ζώνης δικτύου για άμυνα και θα είναι δύσκολο για τους μικρούς και μεσαίους IDC να αντιμετωπίσουν τέτοιες επιθέσεις DDoS εξαιρετικά μεγάλης κλίμακας.
Επί του παρόντος, το Alibaba Cloud παρέχει συστάσεις διαμόρφωσης ασφαλείας Memcached και παρέχει οδηγίες επισκευής στο Anknight για να βοηθήσει τους χρήστες του cloud να διορθώσουν τους κινδύνους Memcached. Η υπηρεσία αποκλεισμού αντανάκλασης UDP παρέχεται στο Anti-Pro IP.
(1) Τι είναι το Memcached;
Το Memcached είναι ένα κατανεμημένο σύστημα προσωρινής αποθήκευσης αντικειμένων στη μνήμη υψηλής απόδοσης που χρησιμοποιείται σε δυναμικές εφαρμογές Ιστού για την εκφόρτωση βάσεων δεδομένων. Μειώνει τον αριθμό των αναγνώσεων της βάσης δεδομένων αποθηκεύοντας προσωρινά δεδομένα και αντικείμενα στη μνήμη, βελτιώνοντας την ταχύτητα των δυναμικών ιστότοπων που βασίζονται σε βάσεις δεδομένων.
(2) Ποιο είναι το επιχειρηματικό σενάριο Memcached;
Εάν ο ιστότοπος περιέχει δυναμικές σελίδες με μεγάλη επισκεψιμότητα, ο φόρτος στη βάση δεδομένων θα είναι υψηλός. Δεδομένου ότι τα περισσότερα αιτήματα βάσης δεδομένων είναι λειτουργίες ανάγνωσης, τα περισσότερα επιχειρηματικά συστήματα με υψηλές αναγνώσεις χρησιμοποιούν το Memcached για να μειώσουν τις αναγνώσεις της βάσης δεδομένων και η εφαρμογή της λειτουργίας προσωρινής αποθήκευσης μπορεί να μειώσει σημαντικά το φόρτο της βάσης δεδομένων και να βελτιώσει την απόδοση του ιστότοπου.
(3) Γιατί χρησιμοποιείται το Memcached για την ενίσχυση επιθέσεων DDoS;
- Δεδομένου ότι το Memcache (έκδοση παλαιότερη από την 1.5.6) ακούει UDP από προεπιλογή, ικανοποιεί φυσικά τη συνθήκη αντανάκλασης DDoS
- Πολλοί χρήστες ακούν την υπηρεσία στο 0.0.0.0 χωρίς να διαμορφώσουν τον κανόνα iptables, ο οποίος μπορεί να ζητηθεί από οποιαδήποτε διεύθυνση IP προέλευσης
- Το Memcached αντικατοπτρίζει δεκάδες χιλιάδες φορές το πολλαπλάσιο, το οποίο είναι πολύ ευνοϊκό για επιθέσεις DDoS που ενισχύουν το πολλαπλάσιο των πακέτων σε μεγάλη κίνηση
Οι ειδικοί ασφαλείας του Alibaba Cloud έχουν δύο προτάσεις για το πώς να αποτρέψετε το Memcached:
Πρώτον, πώς να αποφύγετε την εκμετάλλευση ως ανακλαστήρα Memcached:
Συνιστάται να ελέγξετε και να σκληρύνετε την τρέχουσα υπηρεσία Memccached για να αποτρέψετε την περιττή κίνηση εύρους ζώνης που προκαλείται από χάκερ για την εκτόξευση επιθέσεων DDoS.
Εάν η έκδοση Memcached είναι χαμηλότερη από 1.5.6 και δεν χρειάζεται να ακούσετε UDP. Μπορείτε να επανεκκινήσετε το Memcached για να συμμετάσχετε στην παράμετρο εκκίνησης -U 0, π.χ. Memcached -U 0, η οποία απαγορεύει την ακρόαση στο πρωτόκολλο udp
Περισσότερη τεκμηρίωση Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Εάν έχετε αγοράσει το Alibaba Cloud Shield Anknight, μπορείτε να το διορθώσετε σύμφωνα με τις οδηγίες στην κονσόλα Anknight.
Δεύτερον, πώς να προστατευτείτε από επιθέσεις αντανάκλασης Memcached DDoS
Συνιστάται η βελτιστοποίηση της δομής της υπηρεσίας και η διασπορά της υπηρεσίας σε πολλαπλές IP.
Το Memcached καθιστά σχετικά εύκολη την εκτόξευση επιθέσεων DDoS υψηλής επισκεψιμότητας και η άμυνα έναντι επιθέσεων Memcached απαιτεί επαρκές εύρος ζώνης. Εάν αντιμετωπίσετε μια επίθεση αντανάκλασης υψηλής επισκεψιμότητας, μπορείτε να αγοράσετε μια υπηρεσία καθαρισμού cloud και να προτείνετε μια υπηρεσία καθαρισμού cloud που φιλτράρει τις αντανακλάσεις UDP. Το Alibaba Cloud Anti-DDoS Pro κυκλοφόρησε τις υπηρεσίες αποκλεισμού UDP.
|
Δημοσιεύτηκε στις 2/3/2018 9:40:24 π.μ.
|
|
|
Δημοσιεύτηκε στις 2/3/2018 10:05:56 π.μ.
|
